طبق گزارش Avanan، مجرمان سایبری روش جدیدی برای ساختن ایمیلهای فیشینگ پیدا کردهاند که از اطلاعات موجود در Google Docs و Google Drive برای دور زدن فیلترهای امنیتی استفاده میکند.
به گزارش گرداب، محققان میگویند این اولین باری است که از چنین تکنیکهایی برای سوءاستفاده از خدمات گوگل استفاده میشود. ایمیلی که قربانیان دریافت میکنند بسیار شبیه به لینک واقعی Google Docs است و با کلیک کردن روی آن، کاربر با صفحهای شبیه به Word روبرو میشود.
Avanan میگوید: «این نوع صفحاتِ مربوط به Google Docs شاید برای کسانی که از Google Docs در خارج از محیط کاری استفاده میکنند، آشنا باشد. اما این نوع صفحه، یک صفحهی عادی نیست و فقط یک صفحهی HTML شبیهسازی شده است. مجرمان از قربانیان میخواهند تا روی گزینهی دانلود کلیک کنند و بعد از کلیک کردن روی آن، کاربران مستقیما به وبسایت اصلی فیشینگ منتقل میشوند. اطلاعات کاربری آنها نیز از طریق صفحهای شبیهسازی شده به پورتال ورود به سیستم در گوگل، به سرقت میرود.»
خود حمله تقریبا ساده انجام میشود. یک صفحهی وب HTML جعلی شبیه به صفحهی اشتراکگذاری در Google Docs طراحی میشود و آن در Google Drive بارگذاری میشود.
سپس قبل از جاسازی آن در وب، به سادگی با یک کلیک، Google Docs را باز میکنند. در واقع خود گوگل بیشتر کارها را از جمله ایجاد لینک برای فایل HTML، انجام میدهد. برخی ادعا کردهاند که از تکنیک مشابهی برای ساختن فایلهای جعلی DocuSign استفاده شده است که کاربر را به پورتال ورود جعلی DocuSign منتقل میکند.
Avanan میگوید با استفاده از Google Docs، مجرمان شانس بیشتری برای دور زدن اسکنرهای لینک دارند که بسیاری از محصولات امنیتی قدیمی از آنها استفاده میکنند. ابزاری که مبتنی بر هوش مصنوعی است باید عملکرد بهتری در شناسایی رفتارهای مشکوک داشته باشد. امروزه، حملات فیشینگ مهمترین عامل تهدید هستند. از بین ۶۲.۶ میلیارد تهدید اینترنتی که Trend Micro در سال ۲۰۲۰ شناسایی کرد، بیش از ۹۱% از طریق ایمیل فرستاده شده بودند.
Hank Schless، مدیر ارشد امنیتی در Lookout، گفت که این نوع حملات فیشینگ جدید میتواند امنیت سایبری شرکتها را به چالش بکشد. او در ادامه گفت: «مجرمان میدانند که بهترین راه برای نفوذ به زیرساختهای یک سازمان، دزدیدن اطلاعات ورود به سیستم افراد است.
از آنجایی که بیشتر سازمانها از Google Workplace و Microsoft ۳۶۵ استفاده میکنند، مجرمان کمپینهای فیشینگی ایجاد میکنند تا فقط همین سرویسها را هدف قرار دهند. اگر مجرمان اطلاعات ورود به سیستم را داشته باشند و بتوانند به فضای ابریِ مورد هدف خود دسترسی پیدا کنند، دیگر هیچ محدودیتی برای دسترسی به اطلاعات موردنظر خود نخواهند داشت.»